Microsoft Teams almacena tokens de autenticación en modo de texto plano sin cifrar, lo que permite a los atacantes controlar potencialmente las comunicaciones dentro de una organización, según la empresa de ciberseguridad Vectra. El fallo afecta a la aplicación de escritorio para Windows, Mac y Linux construida con el marco Electron de Microsoft.
Con respecto al tema, Microsoft está al tanto del problema, pero ha dicho que no tiene planes para solucionarlo a corto plazo, ya que su explotación requeriría también acceso a la red.
Según Vectra, un hacker con acceso local o remoto al sistema podría robar las credenciales de cualquier usuario de Teams que esté conectado en ese momento y hacerse pasar por él incluso cuando no esté conectado. También podría hacerse pasar por el usuario a través de las aplicaciones asociadas a Teams, como Skype o Outlook, eludiendo la autenticación multifactor (MFA) que se requiere habitualmente.
"Esto permite a los atacantes modificar los archivos de SharePoint, el correo y los calendarios de Outlook y los archivos de chat de Teams", escribió el arquitecto de seguridad de Vectra Connor Peoples. "Aún más perjudicial, los atacantes pueden manipular las comunicaciones legítimas dentro de una organización mediante la destrucción selectiva, la exfiltración o la participación en ataques de phishing dirigidos".
Los atacantes pueden manipular las comunicaciones legítimas dentro de una organización mediante la destrucción selectiva, la exfiltración o la participación en ataques de phishing dirigidos.
Los investigadores de Vectra descubrieron la vulnerabilidad mientras ayudaban a un cliente que intentaba eliminar una cuenta deshabilitada de su configuración de Teams. Microsoft requiere que los usuarios estén conectados para ser eliminados, por lo que Vectra buscó en los datos de configuración de la cuenta local. Se propusieron eliminar las referencias a la cuenta conectada. Lo que encontraron al buscar el nombre del usuario en los archivos de la aplicación, fueron tokens, en claro, que proporcionaban acceso a Skype y Outlook. Cada uno de los tokens que encontraron estaba activo y podía conceder acceso sin activar un desafío de dos factores.
En su lugar, Vectra creó un exploit de prueba de concepto que les permitía enviar un mensaje a la cuenta del titular de la credencial a través de un token de acceso. "Asumiendo el control total de los puestos críticos (como el Jefe de Ingeniería, el Director General o el Director Financiero de una empresa) los atacantes pueden convencer a los usuarios de que realicen tareas perjudiciales para la organización".
El problema se limita principalmente a la aplicación de escritorio, porque el marco de Electron (que esencialmente crea un puerto de aplicación web) no tiene "ningún control de seguridad adicional para proteger los datos de las cookies", a diferencia de los navegadores web modernos. Por ello, Vectra recomienda no utilizar la aplicación de escritorio hasta que se cree un parche y utilizar la aplicación web en su lugar.
Igualmente, la empresa de ciberseguridad señala que moverse a través del acceso a Teams de un usuario presenta un pozo particularmente rico para los ataques de phishing, ya que los actores maliciosos pueden hacerse pasar por directores generales u otros ejecutivos y buscar acciones y clics de los empleados de nivel inferior. Es una estrategia conocida como Business Email Compromise (BEC); puedes leer sobre ella en el blog On the Issues de Microsoft.
Sin embargo, el cazador de amenazas John Bambenek dijo a Dark Reading que podría proporcionar un medio secundario para el "movimiento lateral" en el caso de una violación de la red. También señaló que Microsoft está avanzando hacia las Progressive Web Apps que "mitigarían muchas de las preocupaciones que actualmente trae Electron."
Sobre la vulnerabilidad, Microsoft dijo que "no cumple con nuestra exigencia de servicio inmediato, ya que requiere que un atacante acceda primero a una red de destino" y añadió que consideraría abordarla en una futura versión del producto.
Ya se ha descubierto que las aplicaciones electrónicas albergan profundos problemas de seguridad. Una presentación de 2019 mostró cómo las vulnerabilidades del navegador podían utilizarse para inyectar código en Skype, Slack, WhatsApp y otras apps de Electron. Se descubrió que la app Electron de escritorio de WhatsApp tenía otra vulnerabilidad en 2020, que proporcionaba acceso a archivos locales a través de JavaScript incrustado en los mensajes.